某校园网规划与设计

某校园网规划与设计一、设计要求某大学的网络ID为157.54.0.0/16,需要保留一半的地址空间供将来使用，该大学共有15个分学院，每个学院可能包含2000台主机和不同用途的服务器，请根据此需求借鉴现行大学网络设计，规划合理适应的校园网络。二、设计规划（一） 校园网建设的原则整体规划分步实施：一方面因为学校的资金情况，不能一步到位。二是依据需求，不能盲目投资。注重应用系统建设：计算机网络要想发挥出它的作用，必须有建立在它之上的应用系统。这里有一个非常形象的比喻：网络就象路，而应用系统就象车，只修路但没车跑，路也不能发挥它的作用。这必须跟据学校的实际情况，选择恰当的应用系统。把握当前先进性：要将未来的可扩展性和经济可行性结合起来。当前计算机网络技术发展很快，设备更新淘汰很快。校园网建设应当采用当前成熟先进的技术和设备，而这些设备应有良好的扩张性，即能够兼容未来可能的技术。（二） 学校子网需求划分为了提高IP地址的使用效率，引入了子网的概念。将一个网络划分为子网：采用借位的方式，从主机位最高位开始借位变为新的子网位，所剩余的部分则仍为主机位。这使得IP地址的结构分为三级地址结构：网络位、子网位和主机位。这种层次结构便于IP地址分配和管理。它的使用关键在于选择合适的层次结构—如何既能适应各种现实的物理网络规模，又能充分地利用IP地址空间。子网的划分主要是根据子网掩码来区分的，掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”，以及每个子网中的主机数目。如表（1）所示，学校子网的划分。

序号子网名称包含的信息点1学院1子网2000台主机和不同用途的服务器2学院2子网2000台主机和不同用途的服务器3学院3子网2000台主机和不同用途的服务器4学院4子网2000台主机和不同用途的服务器5学院5子网2000台主机和不同用途的服务器6学院6子网2000台主机和不同用途的服务器7学院7子网2000台主机和不同用途的服务器8学院8子网2000台主机和不同用途的服务器9学院9子网2000台主机和不同用途的服务器10学院10子网2000台主机和不同用途的服务器11学院11子网2000台主机和不同用途的服务器12学院12子网2000台主机和不同用途的服务器13学院13子网2000台主机和不同用途的服务器14学院14子网2000台主机和不同用途的服务器15学院15子网2000台主机和不同用途的服务器表（1）学校子网的划分三、解决方案提出论证（一）网络拓扑结构设计在用户的网络结构设计中，我们建议采用层次化的结构设计。对于用户即将建设的网络系统来说，想要建设成为一个覆盖范围广、网络性能优良、具有很强扩展能力和升级能力的网络，在起初的设计中就必须采用层次化的网络设计原则。采用这样的结构所建设的网络具有良好的扩充性、管理性，因为新的子网模块和新的网络技术能被更容易集成到整个系统中，而不破坏已存在的骨干网。大多数的网络都可以被层次性划分为三个逻辑服务单元：核心骨干网(Backbone)、汇聚网(Distribute)和接入网(Local—access)，模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。层次性结构如下图所示。根据项目的具体需求及现有的光纤结构，结合网络建设的基本理论和原则，各入网部门的实际情况，应用需求，资金条件和远，近目标等各方面的要求，设计出该网络为拓扑结构为分层的集中式结构或称星型分级拓扑。布线系统总体结构设计总体四层，从总部机房用十二芯单模光纤与其他四层建筑的设备间|BD|相连，每个设备间也设用十二芯多模光纤与每层的电信间|FD|，并用五类非屏蔽双绞线从电信间与工作站相连接，集团园区网采用10M的光纤以太网接入到因特网服务提供商的网络，然后接入到因特网中，使集团实现与外界的信息交换和网络通信。集团统一由总部机房的一个出口访问Internet，集团能够控制网络的安全。在服务器和核心交换机间：使用UTP电缆来将服务器连接到核心交换机。四、所需设备描述、网络拓扑及简要配置方案（一） 网络设计总体要求灵活性：系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接；布线系统且具有一定的扩展能力。实用性：系统具有低成本、使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料成本;布线系统具有操作简单、使用方便、易于扩展的特点。可扩展性：网络结构和系统结构模块化，易于扩充，适应未来发展。高可靠性：网络建设应立足于现有成熟的技术，具有高可靠性，并考虑主十设备的备份（二） 设备选择（1） 汇聚层采用三层交换机，选择CISCOWS-C3560G-24TS-S，功能较全面，稳定可靠，接口丰富。可以在其上配置ACL，控制各部门访问的权利。实现流量的汇聚。（2） 核心层的路由器选择CISCO2911/K9，内置了防火墙，但防火墙主要还是应用华为赛门铁克USG5320（4GE/AC），支持VPN。优点是业务多重，智能管理，安全性高，集成多业务路由器均提供嵌入式硬件加密加速、支持语音和视频的数字信号处理器插槽、可选防火墙、入侵预防、呼叫处理、语音信箱以及应用程序服务。（3） 防火墙选择华为赛门铁克USG5320（4GE/AC），网络吞吐量为2000Mbps，支持VPN，可以抵御大流量的DDOS攻击，甚至达到每秒数百万包以上的DDOS攻击，还能提供病毒流量的识别和防范能力。防火墙应连在核心层的路由器上，作为病毒进入企业网络的第一层抵御，保护企业的网络不被破坏，数据不丢失。

应用地址2960-24TTSwitch8（2）分配各个学院地址：分为十五个学院。.2960-1296^^7SwitSwitch-24TTch10»9*&0-24TT^Switch112960-247SwitchS用地址J9&0-24TTSwitchl32960-24TTSwitch22960-24TTSwitch122960-24TTSwitch52960-24TTSwitch15应用地址2960-24TTSwitch8（2）分配各个学院地址：分为十五个学院。.2960-1296^^7SwitSwitch-24TTch10»9*&0-24TT^Switch112960-247SwitchS用地址J9&0-24TTSwitchl32960-24TTSwitch22960-24TTSwitch122960-24TTSwitch52960-24TTSwitch152960-24TTSwitch92960-24TTSwitch42960-24TT

Switch!72960-24TTSwitchS2960-24TTSwitch1+（3）创建地址分配模板:（四）交换机的配置交换机:Swithch#vlandatabase//划分VLANSwitch(vlan)#vlan2nameVLANSCBSwitch(config)#interfacef0/1Switch(config-if)#switchmodeaccessSwitch(config-if)#swtichaccessvlan2Switch(config)#interfacef0/3Switch(config-if)#switchmodetrunk三层交换机：Switch(config)#interfacef0/0.1 〃单臂路由Switch(config-subif)#encapdot1q1Switch(config-subif)#ipaddress192.168.1.254255.255.255.0Switch(config)#routerrip //RIP协议Switch(config-rip)#network192.189.1.0Switch(config-rip)#network192.189.2.0Switch(config-rip)#network10.10.10.0Switch(config)#access-list1permithost192.168.8.0//ACLSwitch(config)#access-list1denyanySwitch(config)#intf0/1Switch(config-if)#ipaccess-group1out五、IP地址分配方案IP地址规划和分配原则根据目前网络结构和以后扩展，遵循以下原则进行IP地址分配。♦唯一性：IP地址必须唯一，一个IP地址对应一台数据通讯设备；♦连续性：为同一网络区域分配连续的网络地址，便于规划，同时提高路由器寻径效率；♦可管理性：地址的分配应该有层次性，某个局部的变动不影响网络的其它部分；♦高效性：采用可变长子网掩码技术，要求采用支持可变长子网掩码技术的TCP/IP协议族；♦可汇聚，性：方便路由汇总，缩减路由表条目，提高路由器处理效率。♦可扩展性：既要考虑到IP地址的使用现状，又要考虑到未来信息网络的发展，为各单位分配合理的地址空间，在网络上尽可能少地做NAT，减少网络设备CPU处理负担和加快网络访问速度。业务地址的划分可以按照两个原则来分配：♦按照部门规划，每个部门一个独立的网段；这种方案适合业务种类单一的情况，管理方便。♦按照业务规划，每种业务一个网段，所有的地市同一业务使用同一网段，这种方案适合业务之间互访的控制。网路地址分配网络ID为157.54.0.0/16，分配方案如下：(1)保留地址：需要保留一半的地址空间供将来使用。子网划分生成了2个子网157.54.0.0/17和157.54.128.0/17,将地址空间平均

分成了两部分。可以选择157.54.128.0/17作为保留的那一部分地址空间的网络ID,从而满足上述要求。序号子网名称网段IP网关IP1应用子网157.54.0.1157.54.127.2542保留子网157.54.128.1157.54.255.254（2）分配各个学院地址：该大学共有15个分学院，每个学院可能包含2000台主机和不同用途的服务器。为了达到拥有15个地址前缀，每个前缀有大约2000个主机这一要求，对子网网络ID157.54.0.0/17执行4位子网划分。第2次子网网划分生成了16个地址前缀。即157.54.0.0/21、157.54.8.0/21„157.54.104.0/21和157.54.112.0/21，每个地址前缀可拥有多达2046个主机。下表列出了这15个地址前缀，其中每个子网可拥有多达2046个主机。子网编号网络ID（点分十进制）网络ID（网络前缀）序号子网名称网段IP网关IP1学院一157.54.0.1157.54.7.2542学院二157.54.8.1157.54.15.2543学院三157.54.16.1157.54.23.2544学院四157.54.24.1157.54.31.2545学院五157.54.32.1157.54.39.2546学院六157.54.40.1157.54.47.2547学院七157.54.48.1157.43.55.2548学院八157.54.56.1157.54.63.2549学院九157.54.64.1157.54.71.25410学院十157.54.72.1157.54.79.25411学院十一157.54.80.1157.54.87.25412学院十二157.54.88.1157.54.95.25413学院十三157.54.96.1157.54.103.25414学院十四157.54.104.1157.54.111.25415学院十五157.54.112.1157.54.119.254创建地址分配模板为了满足每个学院创建8个可拥有250个主机的子网模板要求，需要对子网网络ID157.54.248.0/21进行3位的子网划分。第3次子网划分会生成8个子网。157.54.248.0/24、157.54.249.0/24„157.54.254.0/24和157.54.255.0/24，每个子网可拥有254个主机。可以选择所有8个子网网络ID从157.54.248.0/24~157.54.255.0/24，作为网络ID分配给单个子网，从而完成整个任务。下表列出了8个子网，其中每个子网可拥有254个主机。序号子网名称网段IP子网掩码1学院子棋板一157.54.248.0255.255.255.02学院子模板二157.54.249.0255.255.255.03学院子模板三157.54.250.0255.255.255.04学院子模板四157.54.251.0255.255.255.05学院子模板五157.54.252.0255.255.255.06学院子模板六157.54.253.10255.255.255.07学院子模板七157.54.254.0255